y2h4ck
(usa Suse)
Enviado em 18/03/2008 - 06:17h
Olá pessoal,
Acho que nosso amigo ai de cima não entendeu a dúvida do camarada. Na verdade ele quer 'IDENTIFICAR' o sniffer para poder eliminá-lo.
Bom existe uma técnica utilizada para identificar sniffer onde aplicam-se alguns vetores baseados na metodologia de execução da camada OSI.
Tendo que um determinado pacote dentro de uma rede X, baseado em seu TTL (determinados pelos números de hopes por onde o pacote passa) seja decrementado em uma rede sem um gateway, pode ser uma chance de este pacote ter sido capturado por um sniffer.
Uma ferramenta que ajuda vc a sniffar e à também detectar um sniffer na sua rede é o Ettercap. Ele tem um módulo que varre o seu segmento a procura de máquinas com a interface em modo promíscuo.
Caso o sniffer que esteja rodando em sua rede seja um sniffer ativo em que se estejam executando um ARP Poison, existe um artigo aqui no vol sobre uma ferramenta que analisa e avisa sobre modificações na tabela arp da rede, avisando assim que um ataque deste tipo está ocorrendo.
Boa sorte.